Pour gérer vos consentements :
Categories: Sécurité

Windows touché par une énième variante de l’attaque Teardrop

Nom : FragmentStack. Matricule : CVE-2018-5391. Risque posé : déni de service.

Cette faille est au menu du Patch Tuesday de septembre 2018. Dans l’alerte qui lui est dédiée, Microsoft suggère une mesure de contournement : désactiver la reconstitution des paquets IP*.

FragmentStack affecte précisément cette opération qui intervient en dernier lieu dans le processus de segmentation IP.

Ledit processus consiste à découper des paquets pour les adapter aux capacités de réception (MTU, « maximum transmission unit ») de la station destinataire. Il est mis en œuvre notamment pour assurer le transfert de données entre des réseaux physiques différents.

La méthode présente plusieurs inconvénients, dont le fait que l’assemblage des paquets est entièrement dévolu au destinataire.

FragmentStack exploite ce goulet d’étranglement de manière à consommer toutes les ressources processeur, la machine ciblée finissant par planter. Il représente, en ce sens, une énième variante de l’attaque dite « Teardrop » et connue depuis des décennies.

Toutes les versions de Windows – client et serveur – encore prises en charge abritent la faille ; pas les VM Azure. Désactiver la reconstitution des paquets élimine la vulnérabilité, mais augmente le risque de perdre des données.

Linux aussi

FragmentSmack avait été rendu public au mois d’août, des suites d’une découverte d’un chercheur des Nokia Labs. L’intéressé avait constaté que la vulnérabilité, connue de longue date sous d’autres formes, était devenue exploitable sur Linux depuis la version 3.9 du noyau. Ce à cause de l’accroissement de la file de traitement des paquets IP.

Une autre faille avait été publiée en parallèle. Nommée SegmentSmack, elle ne se fonde sur l’injection de paquets TCP. Ses déclinaisons CVE-2018-5390 et CVE-2018-6922 touchent respectivement Linux (version 4.9 et ultérieures) et FreeBSD (à partir de la 10.4).

Des correctifs sont à disposition pour les principales distributions Linux, y compris Android. D’Akamai à Zyxel, de nombreux fournisseurs d’équipements et/ou de services de réseau, de stockage ou encore de sécurité ont eu à les déployer.

L’équipe Debian recommande, en cas d’impossibilité d’appliquer un patch, de paramétrer /proc/sys/net/ipv4 pour fixer à 192 et 256 ko les seuils minimal et maximal de la fragmentation IP.

* Avec les commandes Netsh int ipv4 set global reassemblylimit=0 et Netsh int ipv6 set global reassemblylimit=0

Crédit photo : ministère allemand de la Défense

Recent Posts

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

16 heures ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

1 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

2 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

2 mois ago

Windows 11 : comment Microsoft va réduire la taille des mises à jour

Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…

4 mois ago

Windows 11 : comment Bloc-notes va remplacer WordPad

Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…

4 mois ago